Topic: Segnalazioni nuove versioni plugin

[gialloporpora]

Che, non per parlar male di Adobe, però riescono a far rivivere i bug che avevano chiuso in passato
http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-zero-day-shares-same-root-cause-as-older-flaws/

cioè se facessero dei test automatici con gli exploit passati se ne sarebbero pure accorti.

[gialloporpora]

Io l'ho disinstallato da un po', comunque ora Java vi installerà la toolbar di Yahoo al posto di quella di Ask, speriamo faccia meno danni


Java updater to stop pushing Ask Toolbar, will foist Yahoo search on you instead | Naked Security

Oracle's Java, infamous in the past for bundling the Ask Toolbar as part of its install and update processes, is ditching Ask in favour of Yahoo's search engine.

The news was announced by Yahoo CEO Marissa Mayer at yesterday's shareholders meeting, although no details were revealed on how much Yahoo will be paying Oracle for the privilege.

[gialloporpora]

A quanto sembra aggiorrneranno Flash a breve
http://blog.trendmicro.com/trendlabs-security-intelligence/unpatched-flash-player-flaws-more-pocs-found-in-hacking-team-leak/

[p060477]

ma per win la silverlight ultima e' 5.1.40.620, per win 8.1 64bit..?
perche' me la segnala filehippo..al posto della mia 5.1.40.416
ma se la scarico mi dice che ho gia' l'ultima vers.
e il win update non mi segnala niente..

grazie!!

[Underpass]

p060477: scarica gli aggiornamenti solo dal sito del produttore. Non sai mai che roba ci possono mettere dentro senza che te ne accorga.

[p060477]

grazie!

..di fatti non sembra esistere tale nuova vers sul sito ufficiale...
https://www.microsoft.com/getsilverlight/locale/en-us/html/Microsoft%20Silverlight%20Release%20History.htm

[Ronnie91]

Nuovo rilascio di Adobe Flash Player, versione 18.0.0.203:

Firefox e altri browser: https://fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_18_plugin.exe


Internet Explorer: https://fpdownload.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_18_active_x.exe


Link con tutti i download di Flash: https://www.adobe.com/it/products/flashplayer/distribution3.html


Uninstaller di Flash: http://download.macromedia.com/get/flashplayer/current/support/uninstall_flash_player.exe


Bollettino di sicurezza: https://helpx.adobe.com/security/products/flash-player/apsa15-03.html

[p060477]

encomiabile!!

[gialloporpora]

Wiki Leaks ha pubblicato l'archivio mail di Hacking Team cercabile.
È interessante notare che gli exploit Flash, assieme a quelli per Office,  sono quelli che vanno per la maggiore e visto che loro li acquistavano da terzi si vede anche quanto vengono pagati questi exploit circa quello che li pagavano al pwn2own)

https://wikileaks.org/hackingteam/emails/emailid/372513

Il 17/12/2013 19.45, Guido Landi ha
scritto:
Vitaly ci aveva mandato due exploit gemelli(differente vulnerabilita' ma
stessi target) che aveva accorpato in un unica descrizione... abbiamo
preso uno... prendiamo l'altro?
#1,#2 (two 0days) Adobe Flash Player

[/quoteù

Come attivare il click-to-play in Firefox:
http://mzl.la/1M7tUdI

[gialloporpora]

So che sembra un deja vu, però ne arriva un altro di aggiornamento per Flash

CVE-2015-5122 Zero-Day Arises from Hacking Team Data Leak

Hot on the heels of the last zero-day vulnerability that was found from the Hacking Team data leak (i.e. CVE-2015-5119) comes yet another that may be as dangerous: CVE-2015-5122, a vulnerability in Adobe Flash Player. If exploited, it could result in a crash that would allow an attacker to take control of the vulnerable system. And yes, just like CVE-2015-5119, it affects all recent versions of Flash on Windows, Mac and Linux (i.e. 18.0.0.203).

[michro]

So che sembra un deja vu, però ne arriva un altro di aggiornamento per Flash

Ma dai... che purga! Verrà il giorno del giudizio anche per loro. Meno male che almeno c'è qualcuno che si accorge di queste vulnerabilità

[shonnyno]

Be' mi preoccuperei più di un software "inattaccabile", invece , a mio avviso, va apprezzato il fatto che si ponga rimedio quasi in tempo reale, no? vi ricordate i rilasci di firefox .0.1 .0.2 .0.3 .0.4 a breve distanza di tempo proprio a causa di falle sicurezza, in tal caso si elogiava la laboriosità. E' normale che ci siano terze parti a segnalare i bug di sicurezza: scoprirle è il loro lavoro, sanarle è il lavoro dei produttori invece. Flash è tra i software più diffusi sul pianeta quindi è logico che sia preso di mira intensamente, a seconda dei periodi, non costantemente infatti. (Piuttosto auspicherei miglioramenti in HTML5: l'accelerazione, garantita da Flash e Silverlight, con la canicola di questi giorni sarebbe assai gradita dall'HDD credo). Poi Noscript si prende cura di permettere solo youtube o siti che godano della nostra fiducia, anche se essa può venire meno. Pur facenti parte della "concorrenza" io li ringrazierei piuttosto che stroncarli, almeno fino a quando html5 non sarà *pari* a flash quanto ad efficienza (in primis accelerazione in HD, ripeto, soprattutto d'estate). Che Adobe non faccia tutto giusto al primo colpo è palese (ma chi lo fa?), tuttavia va riconosciuta la volontà indefessa di Campbell nel rimediare al più presto, nell'essere disponibile e mai permaloso nei confronti delle critiche, anche infuocate. In sintesi io (perdonatemi) apprezzo i rilasci extra di Flash, se necessari, così come apprezzo i rilasci extra di Firefox, ultimamente meno frequenti rispetto al recente passato, anzi per la chiusura falla Logjam abbiamo dovuto aspettare da maggio a fine giugno, no?

PS: della serie "come farsi degli amici per la pelle sul forum"

PPSS: invece un periodo insolitamente assai problematico lo sta vivendo nVidia con i suoi driver, dopo i perfetti e stabilissimi 347.88 di marzo, con notevoli conseguenze anche su firefox e chrome, ma per questo c'è il forum geforce.com.

[gialloporpora]

Però la falla logjam non è che fosse proprio così terribile, nel senso che è comunque una debolezza dell'implementazione e che comunque per applicarla una certa potenza di calcolo devi averla (e anche usare un attacco di tipo XSS).
Uno 0-day, come questi due, che basta far aprire un link per impadronirsi della macchina sono un po' peggio, è sicuramente più facile utilizzarli
Anche se pure io concordo pienamente con te sulla questione “meglio trovarli i buchi e aggiornarli che vivere dietro una finta sicurezza”, è però vero, ma bisognerebbe un esperto del codice di Flash per avere la certezza, che molti dei bug del Flash sono lievi modifiche a falle precedenti, quindi, almeno da quel che mi sembra di capire, è che loro mettano un fix specifico ma che il problema di fondo rimanga perché (bug delle scorse settimane) poi torna a funzionare un vecchio exploit.

E comunque una cosa realmente preoccupante - anche se io la sospettavo già da un po' - è che le aziende come Hacking Team di exploit sul mercato ne trovano quanti ne vogliono, perché, in questo caso, quella falla chissà quando sarebbe venuta fuori (qui non mi riferisco specificatamente a Flash, sicuramente ne vendono anche per Firefox).

L'avrebbero anche potuta risolvere tra un anno o chissà…

[Iceberg]

Non credo che possano permettersi di non avere bug, con alcuni etichettati special. Per fare un esempio, la società citata da gialloporpora li denuncerebbe e la giustizia direbbe o bug o chiudere.
Pessimistica e rassegnata opinione personale con la quale mi trovo d'accordo.

[gialloporpora]

Segue dal bollettino di guerra:
http://blog.trendmicro.com/trendlabs-security-intelligence/new-zero-day-vulnerability-cve-2015-5123-in-adobe-flash-emerges-from-hacking-team-leak/
(sembra identica a quella sopra, però il CVE number è diverso)
ne hanno trovato pure un altro per Java (non dai dati di HT), è nelle notizie in evidenza sul loro blog.